BQN 문서

소프트웨어 업데이트 방법

‍

동일한 주요 릴리스 내 업데이트

동일한 주요 릴리스 내에서 업데이트하려면(예: R4.7.1에서 R4.8.3으로) bqn 패키지만 업데이트하면 됩니다(예: bqn-R4.8.3.bpkg). 업데이트는 두 단계로 구성되며, 먼저 설치한 다음 활성화합니다. 활성화에는 몇 초의 트래픽 중단이 수반되므로 처리량이 적은 시간에 수행하는 것이 좋습니다.

설치는 관리->소프트웨어에서 ⁝ 메뉴 아이콘을 클릭하고 설치.. .를 선택하면 패키지를 선택할 수 있는 파일 선택기가 나타나고, 해당 패키지가 BQN 서버로 전송되어 설치됩니다.

활성화는 관리->소프트웨어에서 활성화할 패키지의 ◀ 화살표 아이콘(아래 그림에서 빨간색으로 강조 표시됨)을 클릭하여 수행합니다.

이 작업을 수행하면 몇 초 후에 BQN에 다시 로그인해야 하며, 이 시간 동안 트래픽 흐름이 중단됩니다.

‍

주요 릴리스 전반의 업데이트

새 주요 릴리즈로 업그레이드하기 전에 지원팀(bequant.com)에 문의하여 자세한 지침을 확인하세요.

‍

새로운 주요 릴리스(예: R3에서 R4로)로 마이그레이션하려면 bqn 패키지 외에 플랫폼 패키지(bqnos, 커널, bqnkernel, 리눅스 및 gui)를 업데이트해야 합니다. 플랫폼 패키지를 활성화하려면 재부팅해야 합니다. 프로세스는 다음과 같습니다:

1. 새 bqnos를 설치하고 1분간 기다린 후 재부팅합니다.

2. 2. 커널과 bqn커널(이 순서대로 함께)을 설치하고 1분간 기다린 후 재부팅합니다.

3. 리눅스를 설치하고 1분간 기다린 후 재부팅합니다.

4. GUI 설치 및 재부팅

5. bqn 설치 및 재로드

 서버 재부팅 시 서비스 손실이 발생할 수 있으므로 서버를 트래픽 경로에서 벗어난 곳에 배치해야 합니다.

마지막으로, 이전 구성을 새 릴리즈로 마이그레이션해야 할 수 있습니다. 최소한 SSH를 통해 BQN 서버에 액세스하고 명령을 실행하는 더 이상 사용되지 않는 명령을 제거해야 합니다:

 
bqnadm@bqn# configure
bqnadm@bqn(config)# clear config undefined
bqnadm@bqn(config)# commit
%WARN: Verify configuration after deleting undefined commands
bqnadm@bqn(config)# end
bqnadm@bqn# exit

‍

진단을 생성하는 방법

Bequant 지원팀에 요청하면 관리->진단에서 진단 파일을 생성할 수 있습니다.

파일은 사용 중인 브라우저의 다운로드 폴더에 저장됩니다.

‍

구성을 백업하는 방법

관리->백업->저장에서 서버 구성을 로컬 파일에 저장할 수 있습니다.

이전에 저장한 백업을 로드하려면 관리->백업->로드로 이동 합니다.

세 가지 옵션이 있습니다:

• 다른 서버에서 백업을 로드합니다. 이 옵션의 목적은 동일한 정책 및 API 클라이언트를 사용하는 여러 서버에 공통 구성을 가져오는 것입니다. 이 옵션을 사용하면 구성의 일반 섹션만 로드됩니다. 서버별 부분(관리 인터페이스 구성, 데이터 wires, 라이선스 및 API BQN 자체 IP 주소)은 그대로 유지됩니다.
• 이 서버에서 백업을 복원합니다. 이 옵션은 이 서버 구성의 이전 상태를 복구하는 데 사용됩니다. 이 옵션에서는 구성이 백업 구성으로 완전히 대체되므로 이 서버에서 구성을 가져오는 것이 중요하며, 그렇지 않으면 서버에 연결할 수 없게 될 수 있습니다.
• 구성 파일을 이 서버 구성과 병합합니다. 이 옵션은 정책 규칙 집합과 같은 일부 구성 섹션만 옮길 때 유용합니다. 이 옵션에서는 파일의 전체 구성이 현재 구성에 추가됩니다. 충돌을 피하기 위해 일반 구성 섹션과 그 중 꼭 필요한 구성 섹션만 병합 파일에 포함시켜야 합니다. 예를 들어 구성에는 관리 기본 게이트웨이가 하나만 있을 수 있으므로 기본 게이트웨이가 포함된 파일을 병합하면 이전 게이트웨이가 대체됩니다.

로드 옵션을 선택하고 파일 선택을 누릅니다. 로드할 파일을 선택하고 열기를 누릅니다. 대화 상자가 작업 결과를 알려줍니다(정상 또는 오류 발견 시). 오류가 있는 경우 서버 구성이 수정되지 않습니다(로드 작업이 원자적으로 수행됨).

‍

SNMP를 통한 모니터링

BQN은 다음과 같은 SNMP v2c 알람(트랩)을 지원합니다:

• Cpu: 과도한 서버 CPU 부하.
• Memory-dpdk: DPDK 패킷 처리에서 과도한 메모리 사용.
• 메모리 풀: BQN 일반 메모리 풀의 과도한 메모리 사용량.
• 디스크: 파일 시스템이 꽉 찼거나 거의 찼습니다.
• 프로세스: 일부 필수 프로세스가 중단되었습니다.
• 트래픽 업링크: 업링크 방향의 트래픽이 없습니다.
• 트래픽-다운링크: 다운링크 방향의 트래픽이 없습니다.
• 트래픽 낮음: 트래픽이 적습니다(업링크 및 다운링크 방향 합산).
• 트래픽 반전: 업링크 처리량이 다운링크 처리량보다 높은 경우( wires 중 일부는 액세스 포트가 인터넷에 연결되어 있고 그 반대의 경우도 있기 때문일 수 있음).
• Wirewires 구성되지 않았거나 일부 wires 다운됨.
• 라이선스 사용 가능: 정의된 라이선스가 없거나 라이선스가 유효하지 않습니다.
• 라이선스 만료: 라이선스가 만료되었습니다.
• 라이선스 사용량: 서버 처리량이 라이선스 용량을 초과합니다.
• 시간: NTP 서버가 구성되어 있지 않거나 연결할 수 없습니다.
• ↪CF_200D↩Bqnmgr: BQN 원격 관리 시스템에 연결할 수 없습니다.

이러한 알람은 BQN 홈페이지에 표시되는 대시보드와 관련이 있습니다. 자세한 내용은 문제 해결 섹션을 참조하세요.

SNMP 에이전트를 구성하려면 관리->SNMP로 이동합니다:

BQN SNMP는 일부 시스템 통계도 내보냅니다. BQN MIB 파일을 받으려면 여기를 클릭하세요.

‍

트래픽 캡처

BQN은 모든 네트워크 인터페이스에서 pcap 형식의 트래픽 캡처를 가져오는 데 사용할 수 있습니다. 이러한 캡처는 다른 네트워크 노드에서 직접 트래픽 캡처를 얻기 어려운 경우가 많기 때문에 BQN 서버뿐만 아니라 네트워크의 다른 곳에서도 문제를 해결하는 데 사용할 수 있습니다.

트래픽 캡처는 인터페이스 이름 옆에 돋보기 아이콘으로 표시됩니다. 다음 페이지에서 사용할 수 있습니다:

• 상태-> 인터페이스-> 링크상태
• 상태-> 인터페이스-> 데이터 Wires

아이콘을 클릭하면 캡처 옵션이 있는 대화 상자가 표시됩니다:

필터 필드에는 tcpdump 필터 형식을 사용할 수 있습니다. If는 선택 사항이며 비어 있으면 모든 트래픽이 캡처됩니다. 몇 가지 필터 예제:

• IP 주소와 관련된 트래픽: 호스트 10.0.0.23
• IP 주소 및 포트와 관련된 TCP 트래픽: tcp 및 호스트 10.0.0.23, 포트 443
• 특정 인터넷 주소에 대한 IP 하위 집합과 관련된 UDP 트래픽: udp 및 net 10.0.0.0/24 및 host 8.8.8.8

네트워크에 VLAN 및/또는 PPPoE가 있는 경우 필터가 작동하려면 해당 토글 스위치를 설정해야 합니다. 이전 스크린샷에서는 네트워크에 VLAN이 있습니다.

최대 캡처 파일 크기 (최대 500MB까지). 이 크기에 도달하면 캡처가 중지됩니다.

캡처 제한 시간(최대 600초). 이 시간이 경과하면 캡처가 중지됩니다. 그 전에 취소 버튼을 눌러 캡처를 중지할 수도 있습니다,

캡처는 최대 크기와 제한 시간(먼저 발생하는 시간)에 의해 제한됩니다. 그 이유는 트래픽 캡처가 성능에 영향을 미치기 때문에 시스템을 보호하기 위해서입니다.

시스템에 미치는 성능 영향을 줄이려면 필요에 맞는 가장 작은 크기와 기간을 사용하세요.

캡처가 완료되면 브라우저 다운로드 폴더에 pcap 파일이 생성됩니다. 이 파일은 pcap 형식을 지원하는 트래픽 도구(예: 와이어샤크)를 사용하여 검사할 수 있습니다.

‍

로그

복잡한 문제를 디버깅하는 데 도움을 주기 위해 GUI는 두 가지 유형의 로그를 표시합니다:

• OS 로그 메시지. 관리->로그->시스템으로 이동합니다.
• 커널 로그 메시지( dmesg 명령의 출력). 관리->로그->커널로 이동합니다.

더 많은 로그 줄을 요청하고 로그 항목을 로컬 파일로 내보낼 수 있습니다.

‍

시스템 사용자

BQN 시스템에는 두 가지 유형의 사용자가 있습니다:

• 관리자: 구성 변경 및 소프트웨어 설치를 포함하여 노드 기능에 제한 없이 액세스할 수 있습니다. 기본적으로 관리 프로필로 bqnadm이라는 사용자가 생성됩니다.
• 운영자: 데이터 시각화에만 액세스할 수 있습니다. 기본적으로 운영자 프로필로 bqnop이라는 사용자가 만들어집니다.

관리자는 관리->사용자에서 시스템 사용자를 생성, 삭제 또는 수정할 수 있습니다.

자물쇠 아이콘을 클릭하여 사용자 비밀번호를 변경합니다. 비밀번호 값에 따옴표(')와 큰따옴표(")를 사용하지 마세요.

‍

소프트웨어 바이패스

일부 트래픽을 BQN에서 처리하지 않고 투명하게 통과하도록 할 수 있습니다. 이러한 트래픽은 네트워크 인터페이스 중 하나에서 캡처되어 동일한 wire 에 있는 피어 인터페이스로 투명하게 릴레이됩니다. 이렇게 하면 BQN 소프트웨어는 이러한 트래픽에 영향을 미치지 않습니다.

우회하도록 구성할 수 있는 트래픽의 종류는 다음과 같습니다:

• IP 트래픽 v4
• IP 트래픽 v6
• 특정 VLAN 태그가 있는 트래픽.
• VLAN 태그가 없는 트래픽(즉, 태그가 지정되지 않은 트래픽).
• 일부 IPv4 및/또는 IPv6 주소 또는 주소 범위.

‍

일부 트래픽을 우회하려면 구성->최적화 설정으로 이동하여 해당 토글을 활성화하세요.

VLAN 및 IP 범위의 경우 값을 입력하고 +를 눌러 추가한 다음 설정을 적용합니다.

우회된 트래픽은 최적화되지 않고, 지표가 기록되지 않으며, 정책이 적용되지 않는 등 BQN 기능의 이점을 누릴 수 없다는 점을 고려하세요.

‍

보안 설정

‍

세션 시간 초과

구성 가능한 시간 제한은 일정 시간 동안 활동이 없으면 GUI 세션의 연결을 끊습니다.

비활성 시간 제한을 활성화하려면 관리->일반 설정으로 이동하여 GUI 비활성 시간 제한에서 초 단위로 값을 설정하고 적용을 누릅니다.

비활성 시간 제한은 새 세션에 적용됩니다.

‍

강력한 사용자 비밀번호

기본적으로 사용자 비밀번호를 설정할 때는 모든 값이 유효합니다. 사용자 비밀번호에 최소한의 복잡성을 부여하여 시스템 보안을 강화할 수 있습니다. 이렇게 하려면 관리->일반 설정으로 이동하여 엄격한 비밀번호 및 로그인 보안 스위치에서 켜짐으로 설정합니다.

엄격한 비밀번호 스위치를 켜짐으로 설정하면 다음과 같은 최소 비밀번호 복잡도가 적용됩니다(충족되지 않으면 비밀번호 변경이 거부됩니다):

• 8자 이상의 길이.
• 소문자 하나 이상을 입력합니다.
• 대문자 하나 이상.
• 숫자 한 자리 이상.
• 특수 문자 하나 이상.
• 사용자 아이디는 그대로 또는 역으로 비밀번호의 일부가 될 수 없습니다. 예를 들어 사용자가 bqnadm인 경우 비밀번호 Bqnadm6? 및 Mdanqb6? 는 거부됩니다.

또한 비밀번호는 pam_cracklib 단순성 테스트를 통과해야 합니다. 이 테스트는 다음과 같은 잘못된 비밀번호를 거부합니다:

• 사전 단어
• 팔린드롬. 예: Af16-61fA
• 동일한 연속 문자. 예: ...aaa...
• 너무 긴 단조로운 시퀀스. 예: ...123... 또는 ...abc...
• 이전 비밀번호와 차이가 5개 미만입니다.

또한 로그인 시도가 5회 연속 실패하면 5분 동안 계정이 차단됩니다. 서비스 거부 공격을 방지하기 위해 루트는 이 정책에서 제외됩니다.

‍

관리 인터페이스 방화벽

에 구성된 인터페이스가 아닌 관리 인터페이스에만 적용되는 관리 인터페이스 방화벽을 설정하려면( wires) 측면 메뉴에서 구성->인터페이스->관리 방화벽을 선택합니다. 그러면 관리 인터페이스에 액세스할 수 있는 IP 주소 범위가 표시됩니다. 기본적으로 IP 주소 범위는 구성되지 않으며 모두 허용됩니다.

허용된 IP 주소 범위를 추가하려면 메뉴 아이콘을 클릭하고 IP 주소 범위 추가.... 를 누릅니다. 하나의 IP 주소 범위가 허용되면 방화벽이 활성화되고 구성된 IP 주소 범위에 속하지 않는 IP 주소에서 들어오는 모든 연결이 차단됩니다. 따라서 GUI에 액세스하는 IP 주소와 관리 IP 주소의 서브넷을 포함하는 IP 주소 범위를 포함시키는 것이 중요합니다(GUI는 제안 목록에 해당 IP 주소를 포함시킵니다). RADIUS/REST 클라이언트, 청구 시스템 및 NTP 서버와 같이 관리 인터페이스와 상호 작용하는 다른 IP도 포함해야 합니다.

방화벽을 비활성화하려면 각 항목 옆에 있는 삭제 아이콘을 눌러 모든 항목을 삭제하고, 모든 항목이 삭제되면 적용 버튼을 한 번 클릭합니다. 모든 항목이 삭제되기 전에 적용을 누르지 않는 것이 중요한데, 너무 일찍 적용하면 방화벽이 활성 상태로 유지되어 내 IP를 차단하는 항목이 없는 경우 서버에 액세스하지 못할 수 있기 때문입니다.

‍

운영자에게사용자 서비스 정보 숨기기

운영자 프로필이 있는 사용자에게는 다음 정보가 표시되지 않도록 시스템을 구성할 수 있습니다:

• 사용자 대시보드에서 DPI 서비스 세부 정보를 확인할 수 있습니다.
• 사용자 대시보드의 활성 흐름 테이블에서 도메인 열을 확인합니다.
• 통계->DPI 서비스 분석->서비스별 시간당 볼륨에서 IP/사용자 ID 필터를 선택합니다.
• 통계->DPI 서비스 분석->서비스별 총 볼륨에서 IP/사용자 ID 필터를 선택합니다.

해당 정보에 대한 액세스를 비활성화하려면 관리자 권한으로 관리->일반 설정으로 이동하여 운영자 프로필에 대해 사용자 에 따라 DPI 숨기기 스위치를 활성화하세요.

운영자에게 구성 및 요금 정책 숨기기

운영자 프로필이 있는 사용자에게는 다음 정보가 표시되지 않도록 시스템을 구성할 수 있습니다:

• 요금 정책 세부 정보는 사용자 대시보드에서 확인할 수 있습니다.
• 요금 정책 세부 정보는 tatus->사용자->QoE 메트릭에서 확인할 수 있습니다.
• 구성 섹션으로 이동합니다.

해당 정보에 대한 액세스를 비활성화하려면 관리자로 관리->일반 설정으로 이동하여 운영자를 위한 구성 및 정책 요금 숨기기 스위치를 사용 설정하세요.

감사 로그

시스템은 시스템에서 수행된 가장 관련성이 높은 작업의 레지스터와 함께 감사 로그를 유지합니다. 파일은 /opt/bqn/var/audit에 있으며 루트 사용자만 읽을 수 있습니다.

현재 감사 파일은 감사라고 하며 이전 감사 파일은 gzip으로 압축되고 유닉스 에포크 순환 시간으로 이름이 지정됩니다(예: audit-1688636727.gz). 이전 파일은 182일 동안 보관됩니다.

각 파일 행은 다음 필드가 있는 감사 항목입니다:

• 시간: 시간: 이벤트 날짜 및 시간(YYYY-mm-ddTHH:MM:SS+UTC 오프셋 형식)입니다.
• 유형: 작업 유형: 액세스, 구성, 소프트웨어, 시스템, 사용자.
• 작성자: 작성자: 작업을 수행하는 시스템 사용자의 이름(사용 가능한 경우)입니다.
• 설명: 작업 설명입니다.

등록된 작업 중 일부는 다음과 같습니다:

• 시스템에 액세스합니다.
• 생성/삭제된 사용자.
• 사용자 비밀번호 수정.
• 구성이 변경됩니다.
• 소프트웨어 업데이트.
• 시스템 재부팅 또는 종료.
• 현지 시간/시간대 변경.

‍

시스템 로그를 syslog 서버로 보내기

시스템 로그를 외부 syslog 서버로 전송하도록 BQN을 구성할 수 있습니다. 시스로그 서버는 BSD 시스로그 프로토콜(IETF RFC 3164) 또는 시스로그 프로토콜(IETF RFC 5454)을 지원해야 합니다.

설정을 수행하려면 SSH를 통해 루트로 로그인하고 다음 단계를 따르세요:

‍

변경 사항이 영구적으로 적용되도록 다음 디렉터리를 만듭니다:

mkdir -p/bqn/root/etc/rsyslog.d/

원본 구성 파일을 해당 디렉터리에 복사합니다:

cp /etc/rsyslog.d/remote.conf /bqn/root/etc/rsyslog.d/

구성 파일을 편집합니다:

vim /bqn/root/etc/rsyslog.d/remote.conf

BSD syslog 프로토콜(IETF RFC 3164)을 사용하는 경우 이 줄을 구성 파일에 추가합니다:

*.* action(type="omfwd" target="server-ip" port="server-port" protocol="tcp")

server-IP를 syslog 서버 IP 주소로, server-port를 해당 포트(예: 514)로 바꿉니다.

‍

필요한 형식은 시스로그 프로토콜(IETF RFC 5454)입니다:

*.* action(type="omfwd" target="server-ip" port="server-port" protocol="tcp"  template="RSYSLOG_SyslogProtocol23Format")

시스템을 재부팅합니다:

reboot

이제 BQN 시스템 로그가 /var/log/messages에 있는 syslog 서버로 전송되어야 합니다.

‍

나중에 구성 파일을 변경하는 경우, 변경 사항을 적용하려면 rsyslog 서비스를 다시 시작해야 합니다:

systemctl restart rsyslog.service

서비스 상태를 요청하여 서비스가 정상인지 확인하세요:

bqn:~ # systemctl status rsyslog.service
rsyslog.service - System Logging Service
   Loaded: loaded (/bqn/img/linux/usr/lib/systemd/system/rsyslog.service; enabled)
   Active: active (running) since Thu 2023-10-05 10:37:17 CEST; 1 months 10 days ago
 Main PID: 6992 (rsyslogd)
   CGroup: /system.slice/rsyslog.service
           `-6992 /usr/sbin/rsyslogd -n
. . .

‍

TLS를 사용한 구성

syslog 서버와의 통신을 암호화하려면 BQN에 linux-R3.0.13-20231130 이상의 패키지가 필요합니다. 서버 인증 기관 인증서를 BQN 서버 rsyslog 디렉터리로 전송합니다:

scp ca.pem root@bqn:/bqn/root/etc/rsyslog.d

구성 파일을 편집합니다:

vim /bqn/root/etc/rsyslog.d/remote.conf

작업 줄 앞에 다음 줄을 추가합니다(선택한 포트는 일반적으로 6514이므로 작업 줄에서 검토하세요) :

$DefaultNetstreamDriverCAFile /bqn/root/etc/rsyslog.d/ca.pem
$DefaultNetstreamDriver gtls # use gtls netstream driver
$ActionSendStreamDriverMode 1 # require TLS for the connection
$ActionSendStreamDriverAuthMode anon # server is NOT authenticated

변경 사항을 적용하려면 rsyslog 서비스를 다시 시작합니다:

systemctl restart rsyslog.service

‍